NIS2 : guide de mise en conformité pour PME et ETI en 2026

La directive NIS2 (Network and Information Security 2) est entrée dans sa phase concrète de mise en conformité. Transposée en droit français par décret en octobre 2024, elle fixe au 17 octobre 2026 la date limite pour que les entreprises concernées atteignent le niveau de cybersécurité exigé. Les sanctions pour non-conformité atteignent 10 millions d'euros ou 2% du chiffre d'affaires mondial pour les entités essentielles.

Ce guide s'adresse aux dirigeants, DSI, RSSI et DPO de PME et ETI concernées par la directive. Il couvre : qui est concerné et à quels seuils, quelles obligations techniques concrètes, comment s'y prendre méthodologiquement, quel budget prévoir, et les pièges opérationnels que nous observons sur le terrain. Sources officielles : ANSSI, Numeum, décret de transposition d'octobre 2024.

NIS2 élargit massivement le périmètre de NIS1 : de 500 entités concernées en France à 10 000 à 15 000 entreprises. Deux critères cumulatifs déterminent l'assujettissement : appartenir à un secteur listé dans les annexes de la directive, et dépasser les seuils de taille.

Les deux catégories d'entités

Une entreprise qui remplit les critères est automatiquement soumise à NIS2, avec ou sans notification officielle préalable. Il revient à l'entreprise de s'auto-déclarer si elle n'a pas été notifiée. Le fait de ne pas avoir reçu de courrier ANSSI ne dispense pas de la conformité.

Cas particulier : sous-traitants et fournisseurs

Les entreprises en dessous des seuils NIS2 peuvent être indirectement impactées : les entités essentielles et importantes ont l'obligation de sécuriser leur chaîne d'approvisionnement. Concrètement, un sous-traitant qui fournit un service numérique critique à une EE ou une EI sera évalué selon des critères NIS2 même s'il n'y est pas directement soumis. Le marché des sous-traitants IT va progressivement s'aligner sur ces standards.

Phase 1 : Qualification et audit (3 à 6 semaines)

Vérification de l'assujettissement (seuils + secteur), identification de la catégorie (EE ou EI), revue de la liste ANSSI. Audit de maturité cyber sur les 10 mesures obligatoires. Livrable : rapport de gap analysis qui liste ce qui est déjà en place, ce qui manque, ce qui demande à être formalisé. Budget indicatif : 8 000 à 20 000 € HT selon la taille du SI.

Phase 2 : Cadrage et plan d'action (2 à 4 semaines)

Priorisation des chantiers : quick wins (MFA, sauvegardes testées, journalisation de base), chantiers structurants (plan de réponse aux incidents, PCA/PRA, sécurisation chaîne d'approvisionnement), chantiers longs (culture cyber, chiffrement généralisé). Livrable : roadmap avec planning jusqu'au 17 octobre 2026, budget détaillé, indicateurs de suivi. Mobilisation formelle de la direction.

Phase 3 : Mise en œuvre (3 à 8 mois selon maturité)

Déploiement des mesures techniques et organisationnelles. Formation des équipes. Rédaction des politiques et procédures. Tests de restauration, exercices de crise, simulation d'incidents. Mise en place du dispositif de notification ANSSI. Phase souvent en parallèle entre plusieurs chantiers, ce qui demande une coordination rigoureuse.

Phase 4 : Validation et documentation (2 à 4 semaines)

Audit de conformité interne ou par un tiers indépendant, production des documents exigibles en cas de contrôle ANSSI, validation par la direction. Passage en mode "run" : supervision continue, audits annuels, mise à jour des procédures. C'est le moment où l'entreprise bascule de la conformité projet à la conformité opérationnelle.

Durée totale typique pour une PME (EI) : 4 à 7 mois. Pour une ETI ou grand compte (EE) avec SI complexe : 8 à 14 mois. D'où l'urgence de démarrer dès le premier semestre 2026 pour tenir la date du 17 octobre.

1. La chaîne d'approvisionnement est sous-estimée

L'obligation de sécuriser la chaîne d'approvisionnement se traduit en pratique par un audit de chaque fournisseur numérique critique : hébergeurs, éditeurs SaaS, intégrateurs, sous-traitants dev. Mise en place de clauses contractuelles, suivi des incidents côté fournisseurs, plan de bascule si un fournisseur n'est plus conforme. C'est un chantier à part entière qui peut demander 2 à 4 mois.

2. La notification sous 24h est un vrai sujet opérationnel

Sans procédure formalisée et équipe entraînée, respecter le délai de 24 heures est difficile. Il faut une équipe d'astreinte (ou une solution SOC managed), un arbre de décision pour qualifier l'incident significatif, un canal de communication direct avec l'ANSSI. À tester régulièrement en simulation.

3. La responsabilité de la direction est juridique, pas cosmétique

Il ne suffit pas d'une mention dans le rapport annuel. La direction doit documenter sa revue des risques, ses arbitrages, ses validations de plans de mise en conformité. En cas de contrôle, ces documents sont exigibles. Formalise-les dès la phase 2.

4. Le manque de profils RSSI sur le marché

Les 10 à 15 000 entreprises concernées cherchent toutes des compétences en sécurité au même moment. Les RSSI en interne sont rares, les prestataires sérieux se raréfient au fil de l'année 2026. Les entreprises qui démarrent tardivement se retrouvent avec des prestataires moins expérimentés ou des TJM en hausse significative au Q4.

5. Les sanctions vont graduellement monter en puissance

Début 2027, l'ANSSI privilégiera probablement l'accompagnement et l'injonction de mise en conformité plutôt que les amendes maximales. Sur l'année 2027-2028, la logique de sanction devrait s'accélérer pour crédibiliser la directive. Jouer la montre n'est pas une stratégie tenable.